Concepts fondamentaux
Chapitre 4 : Services d'annuaire
Paru le 11 mai 2004 | Dernière mise à jour le 26 juin 2006
Les services d'annuaire sont des composants essentiels de toute stratégie de gestion des identités et des accès pour plusieurs raisons, la principale étant qu'ils sont le moyen le plus courant de stoker des informations d'identité et d'authentification pour des systèmes d'exploitation serveur.
Un service d'annuaire ne se contente pas de stocker les informations utilisateur ; il stocke également les informations d'identité sur les ressources, les ordinateurs et les applications, car les stratégies de sécurité doivent également s'appliquer à ces ressources. L'intégration de l'identité aux fonctionnalités d'authentification et d'autorisation permet à l'annuaire de gérer l'authentification et l'autorisation d'ouverture de session pour les ressources.
Sur cette page
Active Directory
ADAM
Active Directory
Le service d'annuaire Microsoft® Active Directory® est un stockage d'identité central distribué, sécurisé et extrêmement disponible, étroitement intégré à Windows 2000 Server et Windows Server™ 2003. Active Directory sert de point central pour la gestion et l'administration des comptes utilisateur, de l'authentification, des stratégies de sécurité et des ressources organisationnelles telles que les ordinateurs, les imprimantes et les serveurs.
Active Directory possède la capacité unique de gérer l'identité utilisateur et de contrôler l'accès utilisateur à diverses ressources dans divers systèmes et plates-formes. Cette capacité permet à une organisation d'utiliser Active Directory comme stockage d'informations d'identité, d'authentification et d'autorisation faisant autorité et pouvant être étendu à d'autres applications, systèmes et plates-formes.
Gestion des droits utilisateur dans Active Directory
L'utilisation d'Active Directory comme service d'annuaire pour les identités utilisateur permet à votre organisation de tirer parti des fonctionnalités les plus performantes pour gérer les droits d'accès utilisateur. Cette intégration résout les difficultés principales de gestion des identités et des accès suivantes précédemment identifiées :
Sécurité. Vous pouvez implémenter des modifications aux droits d'accès utilisateur sur tout le réseau en une étape, réduisant ainsi la possibilité de laisser la moindre petite porte ouverte sur les informations sensibles.
Complexité de gestion. Pour chaque utilisateur, il existe un emplacement depuis lequel les habilitations et les informations d'identification peuvent être gérées. De plus, cette approche simplifie l'accès utilisateur car une seule ouverture de session et un seul mot de passe sont nécessaires pour accéder au réseau et à toutes ses ressources.
Maintien des coûts et productivité. Un système unique pour la gestion des groupes et des rôles supprime la redondance des administrateurs réseau qui octroient et surveillent les privilèges pour chaque système et application individuels.
Stratégie de groupe
Vous pouvez utiliser les stratégies de groupe de Windows Server 2003 et Windows 2000 Server pour définir et appliquer des configurations utilisateur et ordinateur pour les groupes d'utilisateurs et les ordinateurs. Avec une stratégie de groupe, votre organisation peut spécifier des paramètres de stratégie pour les éléments suivants :
des stratégies basées sur le registre pour les systèmes d'exploitation et composants Windows ;
des options de sécurité pour les paramètres locaux d'ordinateur, de domaine et de sécurité réseau tels que les stratégies de mot de passe et de comptes ;
des options d'installation et de maintenance de logiciel pour gérer de manière centralisée l'ajout, la mise à jour et la suppression d'applications.
Les stratégies de groupe fournissent un contrôle à l'échelle de l'organisation des paramètres de stratégie, permettant d'améliorer la sécurité tout en réduisant les tâches administratives et les coûts de support.
Pour plus d'informations sur la stratégie de groupe dans Windows 2000 Server et sur Windows Server 2003, consultez la rubrique Présentation de la stratégie de groupe de l'aide de Windows et à la page Guide pas-à-pas de compréhension de l'ensemble de fonctionnalités de stratégie de groupe sur Microsoft TechNet.
Utilisation du langage DSML (Directory Services Markup Language)
Le langage DSML (Directory Services Markup Language) permet de représenter des informations structurelles d'annuaire et des opérations d'annuaire sous la forme d'un document XML. Le langage DSML a pour but de permettre aux applications d'entreprise XML d'utiliser les informations sur les profils et les ressources depuis un annuaire dans leur environnement natif. Le langage DSML permet une collaboration entre le XML et les annuaires et fournit un socle commun pour toutes les applications XML afin de faire un meilleur usage des annuaires.
Les services DSML pour Windows étendent les capacités du service Active Directory sous le système d'exploitation Windows Server 2003. Les services DSML pour Windows utilisant des normes ouvertes telles que HTTP, XML et SOAP (Simple Object Access Protocol), le niveau d'interopérabilité est plus élevé. Par exemple, en plus du protocole standard LDAP (Lightweight Directory Access Protocol), de nombreux périphériques et autres plates-formes proposent des alternatives pour communiquer avec Active Directory. Cette approche présente un certain nombre d'avantages essentiels pour les administrateurs informatiques et les fournisseurs de logiciels (ISV), qui dispose d'un plus grand choix à norme ouverte pour accéder à Active Directory.
Les services DSML pour Windows prennent en charge le langage DSML version 2 (DSMLv2), une norme approuvée par l'OASIS (Organization for the Advancement of Structural Information Standards) et soutenue par de nombreux fournisseurs de services d'annuaire. La prise en charge de la spécification DSMLv2 permet une meilleure interopérabilité avec les autres fournisseurs de services d'annuaire qui prennent également cette norme en charge. Pour plus d'informations sur la spécification et le schéma du langage DSMLv2, consultez le site Web OASIS.
Pour obtenir les services DSML pour Windows, consultez la page de téléchargement Windows Server 2003 Feature Packs (en anglais) sur Microsoft.com.
ADAM
Un annuaire réseau tel que Active Directory constitue l'emplacement approprié pour stocker des données relativement statiques et applicables globalement. Une organisation ou un développeur qui a besoin de stocker des informations liées à l'identité, spécifiques à l'application ou nécessitant un contrôle local de leurs données, peut bénéficier d'un nouveau mode Active Directory connu sous le nom de Active Directory Application Mode (ADAM).
Le mode ADAM résout un grand nombre des problèmes qui surviennent lors du déploiement d'applications qui ont besoin de la structure d'un annuaire mais qui ne correspondent pas tout à fait à l'environnement Active Directory en raison d'une ou plusieurs des exigences suivantes :
le stockage des données de personnalisation ;
le stockage de données devant être souvent mises à jour ;
la prise en charge d'applications utilisant des annuaires et nécessitant l'agrégation des données de profil de plusieurs forêts ou d'une organisation différente telle qu'une structure d'unités d'organisations ;
l'activation de la migration de l'annuaire.
Pour plus d'informations sur le mode ADAM dans ces scénarios, consultez le document « Gestion de l'accès intranet » de ce kit. Vous pouvez en savoir plus sur le mode ADAM et le télécharger depuis la page Windows Server 2003 Active Directory Application Mode (en anglais).
Télécharger
Téléchargez le kit Microsoft de gestion des identités et des accès
Notifications de mise à jour
Abonnez-vous aux mises à jour et aux nouvelles versions
Commentaires